Geistiges Eigentum ist der wichtigste Wert eines jeden Unternehmens, denn es definiert und differenziert Unternehmen durch seine Ideen und Erfindungen und trägt wesentlich zur Unternehmensbewertung bei. Aufgrund seines hohen Wertes versuchen Kriminelle zunehmend, geistiges Eigentum und andere Unternehmensdaten durch digitalen Diebstahl zu erlangen.
Daher ist es heutzutage notwendig, sich dieses Problems bewusst und darauf vorbereitet zu sein. Im Jahr 2019 verzeichnete die Datenbank „Common Vulnerabilities and Exposures“ mehr als 17.300 bekannte Sicherheitslücken in Computersystemen. Und auch im laufenden Jahr wurden bereits wieder über 11.000 Schwachstellen erkannt. Die hohe Zahl der Schwachstellen zeigt, wie wichtig es ist, eine technologische Infrastruktur zu schaffen, die vor Cyber-Angriffen geschützt ist. Viele Kriminelle operieren im Internet inzwischen mit einem besonderen Schwerpunkt auf dem Diebstahl von geistigem Eigentum. Für Unternehmen ist es zunächst besonders wichtig, schnell zu erkennen, ob es zu einem digitalem IP-Diebstahl gekommen ist. Denn je schneller eine Rechtsverletzung festgestellt wird, desto schneller kann ein Unternehmen reagieren und den Schaden eingrenzen. Das Verständnis von Schwachstellenfaktoren sowie der Auswirkungen des digitalen Diebstahls ist deshalb zentral, um Verluste einzudämmen.
Unterschiedliche Sichtweisen zu Datenschutz in USA und Europa
Cyber-Angriffe sind die am schnellsten wachsende Form der weltweiten Kriminalität, die an Umfang und Raffinesse ständig zunimmt. Im Bereich der Cyberkriminalität wirken sich die unterschiedlichen Sichtweisen der Vereinigten Staaten und der Europäischen Union in Bezug auf das Recht auf Privatsphäre darauf aus, dass Cyberkriminalität strafrechtlich anders geahndet wird.
In den USA leitet sich der Wert der Privatsphäre aus dem Konzept der Freiheit und dem Schutz vor staatlichem Eindringen ab. Der Schutz der US-Privatsphäre stammt aus der US-Verfassung mit ihrem vierten Verfassungszusatz – dem Recht des Volkes auf Sicherheit der Person und der Wohnung, der Urkunden und des Eigentums vor willkürlicher Durchsuchung, Festnahme und Beschlagnahme. Diese Betonung der Privatsphäre als Recht gegen das willkürliche Eindringen des Staates hat dazu geführt, dass die Gesetze zum Schutz der Privatsphäre in Bezug auf private Akteure, aber auch kriminelle Unternehmen, nicht sehr robust sind und dass der Ansatz zum Schutz der Privatsphäre in den USA etwas bruchstückhaft ist.
Der FBI Leiter des „Internet Crime Complaint Center“ (IC3) schätzt die Zahl der gemeldeten Cyber-Verbrechen in den Vereinigten Staaten nur auf etwa 10 bis 12 Prozent der tatsächlich begangenen Gesamtzahl. Grundsätzlich gibt es viele Gründe dafür, dass Cyber-Kriminalität zu selten angezeigt wird. Einige davon sind auf die Angst vor Rufschädigung und Verlegenheit zurückzuführen. Außerdem sind viele Unternehmen der Ansicht, dass die Strafverfolgungs- und Regierungsbehörden der USA in dieser Situation ohnehin nicht helfen können.
Im Gegensatz dazu basiert das Verständnis der Europäischen Union auf der Anerkennung der Privatsphäre als Teil der individuellen Freiheit. In Europa haben Einzelpersonen ein Recht darauf, vor unerwünschter öffentlicher Darstellung ihrer Person und ihrer Daten geschützt zu werden. Die vor zwei Jahren erlassene Datenschutz-Grundverordnung der EU (engl. GDPR) wird als eine der wichtigsten und dringend notwendigen Änderungen der Datenschutzbestimmungen seit 20 Jahren bezeichnet. Die GDPR dient dem Schutz der Erhebung, Speicherung, Nutzung und Übermittlung von personenbezogenen Daten von EU-Bürgern. Wenn eine Sicherheitsverletzung auftritt, sind die Daten nutzenden Unternehmen verpflichtet, diese innerhalb von 72 Stunden zu melden. Die Nichteinhaltung der Vorschriften kann Geldstrafen von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes des Unternehmens nach sich ziehen, je nachdem, welcher Betrag höher ist.
Bislang hat die EU bereits einige hohe Millionenstrafen für Verstöße gegen die GDPR verhängt, zum Beispiel gegen British Airways (über 200 Mio. Euro), Marriott (110 Mio. Euro) und Google (50 Mio. Euro). Die meisten Verstöße gingen dabei auf den geschäftlichen Umgang mit Daten und auf die Art und Weise zurück, wie Menschen in Datenerhebungen einwilligen. Um den aktuellen Bestimmungen gerecht zu werden, entwickeln sich die Unternehmen immer weiter. Sie investieren in Tools, die Schwachstellen in Software-Anwendungen und -Plattformen finden und melden, damit Cyber-Angriffe in Echtzeit abgewehrt werden können. Allerdings verwenden auch die Hacker neue, raffiniertere Methoden und ganze kriminelle Syndikate entwickeln ihre Techniken und Tools über das Darknet ständig weiter.
Andere Staaten als Risiko?
Doch nicht nur von kriminellen Hackern geht Gefahr aus. Zunehmend rücken auch Staaten wie China oder Russland in den Fokus der Diskussion. So begründet US-Präsident Donald Trump die gegen die Volksrepublik verhängten Strafzölle unter anderem mit dem Diebstahl geistigen Eigentums. Und auch der US-Außenminister warf dem Reich der Mitte unlängst auf seiner Europareise IP-Diebstahl vor. Eine tatsächliche Verbindung zwischen staatlichen Stellen und kriminellen Hackern konnte bisher allerdings nicht nachgewiesen werden.
Bis 2021 werden die jährlichen Schäden durch Cyberkriminalität auf 6 Billionen US-Dollar geschätzt – mehr als alle Kosten, die durch Naturkatastrophen in einem Jahr verursacht werden. Nach Angaben von Cybersecurity Ventures wäre der Sektor der Cyberkriminalität damit weitaus profitabler als der weltweite Handel mit allen geläufigen illegalen Drogen.
Besonders Branchen wie das Gesundheitswesen, die Fertigungsindustrie, Finanzdienstleistungen, die Regierung und das Transportwesen sind anfällig für Cyber-Angriffe. Genauso werden aber auch kleine und mittelständische Unternehmen zum Ziel von Angriffen. Gerade innovative Mittelständler sind ein lohnendes Ziel, da deren IT-Infrastruktur oftmals nicht so gut gesichert ist, wie dies in großen Konzernen der Fall ist.
Um dies zu verhindern, gibt es inzwischen verschiedene Möglichkeiten, die alle Unternehmen ergreifen können, um digitalen IP-Diebstahl zu verhindern.
Schulung des Sicherheitsbewusstseins
Zunächst ist die Schulung der Belegschaft zum Thema Cyber-Sicherheit unerlässlich. Die meisten Hacker haben mit digitalem IP-Diebstahl aufgrund von Phishing-Angriffen gegen Mitarbeiter, fortgeschrittenen hartnäckigen Bedrohungen, Lösegeldforderungen und Denial-of-Service-Angriffen Erfolg. Die generelle Schärfung des Bewusstseins der Belegschaft für Hackerangriffe ist daher ein wesentlicher Faktor, um das Risiko zu minimieren.
Nach Angaben des „Better Business Bureau“ ist derzeit die Mehrheit der kleinen Unternehmen im Falle eines Angriffs eher dazu geneigt, ein Lösegeld zu zahlen, in der Hoffnung, den normalen Betrieb danach wieder aufnehmen zu können. Allerdings gibt es auch nach der Zahlung eines Lösegeldes keine Sicherheit, dass die gestohlenen Informationen nicht bereits kopiert und weitergegeben wurden. Aus diesem Grund kann der digitale IP-Diebstahl besonders für kleinere und mittlere Unternehmen gefährlich werden.
IP-Digital-Diebstahl schnell untersuchen
Wenn ein Unternehmen gehackt wurde, ist die Reaktions-Geschwindigkeit entscheidend. Spezialisierte Datenanalysen können tief in das kompromittierte System eindringen und das Ausmaß der Verletzung feststellen und prüfen, ob sich Daten geändert haben oder fehlen. Der Einsatz eines Ermittlungsteams kann die Chance erhöhen, den Hacker zu finden und gestohlenes IP zurückzuholen. Es kann auch hilfreich sein, mit forensischen Finanz- und Buchhaltungsspezialisten zusammenzuarbeiten, die das geistige Eigentum und seinen Wert besser einschätzen können. Zusätzlich zu ihrem technischen Fachwissen kennen sich diese auch mit Geschäftsprozessen und dem Wettbewerbsmarkt aus und können den wahren Wert von Schäden bewerten.
Cyber-Versicherung
Eine Cyberversicherung ist eine dritte Möglichkeit, zumindest finanziellen Schaden abzuwenden. Die Nachfrage nach Cyberversicherungen wächst. Laut einer Umfrage des Wall Street Journal verfügen inzwischen viele der bevölkerungsreichsten US-Städte über eine Versicherung gegen Cyberangriffe. Allerdings hat die große Mehrheit der Unternehmen (in den USA circa 80 Prozent, bei deutschen Unternehmen mit unter 100 Mitarbeitern sogar 90 Prozent) noch keine Cyber-Haftpflichtversicherung oder eine Versicherung gegen Datenmissbrauch abgeschlossen. Hier ist Singapur bereits einen Schritt weiter: Es hat den weltweit ersten kommerziellen Pool für Cyberrisiken ins Leben gerufen und bietet Unternehmen im asiatisch-pazifischen Raum Cyber-Versicherungen an. Der Pool garantiert eine Risikokapazität von bis zu 1 Milliarde US-Dollar.
Top-Manager von heute wissen, dass es wichtig und unabdingbar ist, das Bewusstsein für den digitalen IP-Diebstahl zu schärfen. Zwar entwickeln Cyber-Kriminelle ständig neue Methoden und entdecken neue Sicherheitslücken – wenn Unternehmen allerdings darauf vorbereitet sind, können Schaden und Ausfälle zumindest reduziert werden.